Green Pass falsi in Italia riescono a passare i controlli ma sono intestati ad Adolf Hitler. Come mai?

Green Pass falsi in Italia riescono a passare i controlli ma sono intestati ad Adolf Hitler. Come mai?

Da ieri notte circolano su alcuni forum almeno due green pass COVID-19 falsificati, ma che vengono perfettamente validati dalle applicazioni di verifica. Queste certificazioni verdi sono entrambe molto particolari perché sono state intestate ad Adolf Hitler. Quello che ci si chiede è se c'è effettivamente una falla nel sistema che permette a monte di creare falsi Green Pass per chiunque validi.

di pubblicata il , alle 10:36 nel canale Web
 

Ci sono in giro dei Green Pass completamente fasulli che però passano i controlli sull'app Verifica-C19 o anche sull'applicazione svizzera equivalente CovidCheck. La particolarità di queste Certificazioni Verdi non è solamente il fatto che sono false e non veramente rilasciate dalle autorità preposte ma addirittura al check della verifica dell'app mostrano un nome al quanto anomalo del suo possessore: Adolf Hitler.

Anche Adolf Hitler possiede il suo Green Pass?

A prima vista sembrerebbe essere una gravissima violazione dell’affidabilità del sistema dei Green Pass che in qualche modo minerebbe alla base la fiducia nel sistema di verifica. Sappiamo che in questo momento, solamente gli enti sanitari autorizzati hanno le chiavi crittografiche private che consentono di generare le Certificazioni Verdi valide. Un procedimento che non permette ad altri di rendere possibili modifiche e alterazioni a questi Green Pass esistenti inserendo magari un nome differente. Ma sembra proprio che tutto questo non sia così impossibile.

Sì, perché, come detto, da qualche giorno sono in giro un paio di Green Pass a nome di Adolf Hitler che vengono oltretutto validati dalle applicazioni di verifica. Basta infatti nella maggior parte dei controlli che non si vada a incrociare la spunta verde dell'app con il documento del proprietario del Green Pass e chiunque potrebbe passare con una certificazione non proprio sua o addirittura di un personaggio storico. Qui è il caso di Adolf Hitler e del suo Green Pass che viene validato con data 1° gennaio 1900.

Secondo le prime analisi, l’ente emittente di questi due codici QR sarebbe la CNAM francese (Caisse Nationale d’Assurance Maladie), ma il dato non è di quelli protetti dalla crittografia, per cui potrebbe anche non essere poi così veritiero. Oltretutto sembra che l'app di verifica non sempre riesca a validare i Green Pass (almeno quella italiana). Su Raidforums, uno dei forum tra i più importanti del dark web, è presente un utente polacco che sostiene di poter generare qualsiasi tipo di Certificazione Verde a pagamento. In questo caso l'ipotesi che si fa largo tra gli utenti è che a generarlo sia stato qualcuno che lavora in farmacia o in ospedale, capace dunque di accedere al sistema di produzione dei certificati e non di manometterlo.

Secondo Reversebrain, leaker francese, le cose non starebbero così ma molto peggio. Il francese infatti prospetta una fuga di informazioni sulle chiavi private usate per firmare il certificato digitale del Green Pass. E se questo fosse veramente confermato ci si ritroverebbe di fronte ad un intero sistema a rischio e probabilmente da rifare. e in questo caso Stefano Zanero, docente di computer security e informatica forense al Politecnico di Milano, ha commentato pubblicamente in questo modo: “che si sia trattato di un leak o quantomeno di un abuso di chiavi di firma non è che sia discutibile, è abbastanza evidente.”

52 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - info
Ginopilot27 Ottobre 2021, 10:48 #1
Ancora piu' imbecilli quelli che pagano per un certificato di questo genere.
Gringo [ITF]27 Ottobre 2021, 10:51 #2
dai dai... basta passare le certificazioni su NFT, così facciamo contenti tutti.
Opteranium27 Ottobre 2021, 10:59 #3
spero sia la prima ipotesi, se fosse bucato il sistema delle chiavi.. ciao..
ulukaii27 Ottobre 2021, 11:41 #4
Dev'essere omonimia perché l'Hitler "originale" è del '89

Anyway, l'app ha ricevuto un update ieri, in serata. Se si scansiona ora il QR viene identificato come non valido.
marcram27 Ottobre 2021, 11:43 #5
Presumo che le chiavi siano diverse per ogni ente certificatore, in questo caso non capisco quanto ci voglia a risalire a chi ha rilasciato quel certificato.
Poi, annulli tutti i certificati creati con quella chiave, crei una nuova chiave e rifirmi i certificati validi...
ulukaii27 Ottobre 2021, 11:47 #6
E' probabilmente quanto è stato fatto, dato che quel certificato ora risulta non valido.

PS: e forse s'è già beccata pure la fonte > Hackers arrested for 'infiltrating' Ukraine’s health database
Saturn27 Ottobre 2021, 11:59 #7
Qua c'è un Adolf Hitler nato nel 1930.

Green pass ancora valido...

Testato ora puntando C19 sullo schermo...
grizzo9427 Ottobre 2021, 12:03 #8
Originariamente inviato da: marcram
Presumo che le chiavi siano diverse per ogni ente certificatore, in questo caso non capisco quanto ci voglia a risalire a chi ha rilasciato quel certificato.
Poi, annulli tutti i certificati creati con quella chiave, crei una nuova chiave e rifirmi i certificati validi...

Chiaro, specialmente in questo caso specifico ed eclatante.

Peró metti caso che il sistema delle chiavi sia stato effettivamente "bucato", come si fará in futuro a capire se il Pass di un cittadino comune é genuino o comprato da qualche parte?
Puó passare molto tempo prima che qualcuno se ne accorga.
Svelgen27 Ottobre 2021, 12:09 #9
Originariamente inviato da: Saturn
Qua c'è un Adolf Hitler nato nel 1930.

Green pass ancora valido...

Testato ora puntando C19 sullo schermo...


Praticamente, puoi farne uno anche con su scritto: W LA FIGA!
Immagino poi a farlo scansionare alla tipa della pasticceria dove di solito faccio colazione...
marcram27 Ottobre 2021, 12:12 #10
Originariamente inviato da: grizzo94
Chiaro, specialmente in questo caso specifico ed eclatante.

Peró metti caso che il sistema delle chiavi sia stato effettivamente "bucato", come si fará in futuro a capire se il Pass di un cittadino comune é genuino o comprato da qualche parte?
Puó passare molto tempo prima che qualcuno se ne accorga.


"Sistema delle chiavi", bisogna vedere cosa vuol dire.
O buchi l'algoritmo di crittografia, cosa alquanto improbabile, e in quel caso cambi algoritmo.
O c'è un passaggio "umano" delle chiavi, molto più probabile, nel qual caso devi individuare il colpevole e/o bannare l'ente certificatore.
Oppure buchi l'app di verifica, ma in quel caso ne buchi una sola, non tutte...

Devi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".

La discussione è consultabile anche qui, sul forum.
 
^